Documentos de Académico
Documentos de Profesional
Documentos de Cultura
22/04/2019
Contenidos
RESUMEN EJECUTIVO 3
1. INTRODUCCIÓN 4
1.1. Justificación de la auditoría 4
1.2. Objetivo 4
1.3. Alcance 4
1.4. Metodología de Trabajo 4
2. RESULTADOS DE LA EVALUACIÓN 5
2.1. Normativa sobre el acceso a cuentas de correo 5
2.2. Normativa sobre información del usuario en las computadoras 5
2.3. Control en el mantenimiento de Sistemas de Información 6
2.4. Utilización de programas maliciosos 7
2.5. Difusión de información falsa 7
3. CONCLUSIÓN 7
4. RECOMENDACIONES 8
4.1. Normativa sobre el acceso a cuentas de correo 8
4.2. Normativa sobre información del usuario en las computadoras 8
4.3. Control en el mantenimiento de Sistemas de Información 8
RESUMEN EJECUTIVO
Fiscalizar el uso adecuado de los recursos del Banco Los Patitos Felices.
1.2. Objetivo
Evaluar el proceso de administración y cumplimiento del adecuado uso de los recursos del
Banco Los Patitos Felices.
1.3. Alcance
Específicamente se ejecutaron entrevistas con los funcionarios del área de Soporte Técnico
del Departamento de TI. Adicional se evaluó la existencia y razonabilidad de la
documentación formal y procesos establecidos para controlar la información establecida
según la norma como privada.
Los resultados de las pruebas ejecutadas y demás documentos que respaldan el trabajo
realizado, se mantienen como papeles de trabajo en el expediente electrónico de la
Auditoria Interna. Las deficiencias detectadas, tanto en aspectos de control interno como
operativas, de la presente revisión, se detallan en la sección de Resultados.
2. RESULTADOS DE LA EVALUACIÓN
Como consecuencia de esta situación, podría verse afectada la operativa de una unidad al
no poder obtener información necesaria para algún trabajo y que esté contenida en correos
electrónicos de empleados que por distintas razones se les impida facilitarlos.
Al no cumplirse dicha normativa el funcionario estará expuesto a ser sancionado con pena
de prisión de tres a seis años quien en beneficio propio o de un tercero, con peligro o daño
para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere,
modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice,
intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron
recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona
física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en
contenedores electrónicos, ópticos o magnéticos.
No contar con alguna política y procedimiento que detalle la forma en que debe accederse
a la información privada de los demás usuarios, podría limitar el acceso a datos necesarios
para un área o unidad que por error no fueron guardados en la carpeta de información
institucional, sino en la personal.
Estafa informática
Se impondrá prisión de tres a seis años a quien, en perjuicio de una persona física o jurídica,
manipule o influya en el ingreso, en el procesamiento o en el resultado de los datos de un
sistema automatizado de información, ya sea mediante el uso de datos falsos o
incompletos, el uso indebido de datos, programación, valiéndose de alguna operación
informática o artificio tecnológico, o bien, por cualquier otra acción que incida en el
procesamiento de los datos del sistema o que dé como resultado información falsa,
incompleta o fraudulenta, con la cual procure u obtenga un beneficio patrimonial o indebido
para sí o para otro.
Sabotaje informático
Se impondrá pena de prisión de tres a seis años al que, en provecho propio o de un tercero,
destruya, altere, entorpezca o inutilice la información contenida en una base de datos, o
bien, impida, altere, obstaculice o modifique sin autorización el funcionamiento de un
sistema de tratamiento de información, sus partes o componentes físicos o lógicos, o
un sistema informático.
Un efecto directo de la carencia de revisión de código malicioso en los sistemas del Banco,
es que se puedan ejecutar acciones indebidas en las aplicaciones que se ejecuten en el
servidor de producción y que no puedan ser detectadas; tales actividades pueden ir desde
la modificación de datos, acceso a información privada, suspensión de seguridad, alteración
de procesos, entre otros.
2.4. Utilización de programas maliciosos
Una de las consecuencias de no tener normado como actuar en este tipo de situaciones,
es que no se logre recuperar correctamente la evidencia del incidente, produciendo vacíos
legales en un eventual procedimiento administrativo o acto judicial.
En la auditoría se logró determinar que no están normadas las acciones a seguir en caso
de que se compruebe le remisión de información o noticias falsas utilizando cualquiera de
los equipos tecnológicos del Banco y que pueda perjudicar de directa o indirectamente
cualquier unidad de la institución o alguno de sus funcionarios.
3. CONCLUSIÓN
La ejecución del trabajo fue realizada aplicando las técnicas de auditoria correspondiente,
incluyendo la ejecución de entrevistas y valoración de documentos vigentes al momento de
la auditoría.
4. RECOMENDACIONES
A la Gerencia General
Debe normarse el acceso a cuentas de correo electrónico institucional que no sean propias
del funcionario que las va a acceder, ya sea una jefatura, personal de soporte Técnico o
algún tipo de investigación o revisión. Para esto debe quedar documentado el permiso
escrito que brinde previamente el dueño de la cuenta, así como el detalle de bajo qué
situaciones se podrá realizar esta actividad, el tipo de información que podrá ser extraída y
de qué forma, el personal que debe estar a cargo del proceso así como el o las personas
que deben estar presentes, la minuta o documento donde se indique que información se
recuperó y todos los demás pasos o actividades necesarias para ejecutar correctamente el
acceso a la información. Una vez implementado el control, debe implementarse un histórico
que resguarde la información recolectada.
A la Gerencia General
Al Departamento de TI
Debe implementar un proceso de validación y revisión del código fuente para cuando deba
ser modificado por cualquier motivo, esto tanto en la Forma como en el Reporte. Esta
revisión debe quedar documentada y debe indicar además del cumplimiento del
requerimiento del usuario final, que el código no presentó ninguna anomalía o característica
fuera de lo requerido y en caso de encontrarse, debe quedar anotado y efectuar el
comunicado respectivo a la jefatura de TI.
A la Gerencia General
Normar a nivel del Manual de Puestos y funciones, al puesto responsable de velar por el
correcto cumplimiento y ejecución del proceso de mantenimiento de los sistemas de
información del Banco.
A la Gerencia General
Se debe normar correcta y ampliamente la forma de actuar y los pasos a seguir cuando se
determine que algún incidente de seguridad detectado en los equipos del Banco, fue
realizado con alevosía buscando algún bienestar para el funcionario que lo ejecutó. En este
sentido, es necesario buscar la asesoría correspondiente para que el proceso de
recolección de evidencia lógica y física (de existir), se realice de forma adecuada y
suficiente para posibles procesos legales posteriores a la investigación.
A la Gerencia General
Debe crearse la normativa suficiente tanto a nivel de política como de procedimiento el tema
referente la propagación de información o noticias inexistentes o privadas, que sean
capaces de perjudicar al Banco o a sus funcionarios. Para esto además de la política
respectiva, debe elaborarse un procedimiento donde se indique como mínimo la persona o
área encargada de ejecutar la revisión, los pasos que deben seguirse, el personal que va a
estar involucrado, la documentación necesaria de resguardar y de qué forma hacerlo, entre
otros.